Un nuovo malware si sta diffondendo in tutto il mondo. A confermare il timore è la stessa Microsoft e Cisco Talos. Il malware, soprannominato Nodersok” da Microsoft e “Divergent” da Cisco Talos trasforma i pc in veri e propri proxy per autodiffondersi e facilitare il contagio di altri dispositivi e macchine.
Il contagio avviene sfruttando il framework Node.js e WinDivert per catturare e deviare pacchetti di rete con Windows Server 2008, Windows 7, Windows 10 e Windows Server 2016. Le macchine infatti, una volta infettate, si trasformano in “relay” che accedono direttamente al network (websites, C&C servers, compromised machines, etc.), e che permettono di propagare il malware in silenziosamente. (blog post)
Il malware sembrerebbe essere stato progettato per attività di “Click Fraud”, termine che indica quella attività criminale volta a ottenere un ritorno economico dal click sul link compromesso. Il malware a detta degli esperti di CISCO sembrerebbe avere molte caratteristiche in comune con “Kovter”, un trojan Adware già conosciuto.
Ci sono due distinti momenti di infezione, sottolineano gli esperti. L’infezione dei sistemi avviene quando un utente esegue un file HTA come download del browser facendo clic su di esso o navigando su un link dannoso.
Il codice JavaScript nel file HTA scarica quindi un componente di secondo livello sotto forma di un altro file JavaScript o un file XSL contenente un ulteriore codice JavaScript. Questo componente avvia un comando PowerShell nascosto e avvia ulteriori codici PowerShell.
A questo punto i comandi di PowerShell scaricano ed eseguono componenti crittografati che, tra le altre cose, tentano di disabilitare Windows Defender Antivirus e Windows Update e lanciano un codice shell binario che tenta di elevare i privilegi sulla macchina infetta. Il payload finale del malware è un modulo JavaScript scritto nel framework Node.js che può trasformare la macchina in un proxy.
Fortunatamente Microsoft è corsa ai ripari. Anche se in alcuni casi è stato complicato individuare il malware per via delle sue caratteristiche di “Fileless” nelle macchine, Windows Defender è in gradi di identificare e bloccare Nodersok/Divergent se viene effettuato un controllo più penetrante. Microsoft infatti inizialmente ha riscontrato diverse difficoltà “poiché ” il malware (n.d.r.) ” si appoggia a elusive infrastrutture di rete, questo permette all’attacco di passare inosservato al sistema di controllo”.
Per maggiori dettagli tecnici: